Management Summary

Klassische VPN-Modelle skalieren nicht mehr: Breite Netzwerkzugriffe, schwer kontrollierbare Berechtigungen und organisatorische Altlasten machen VPNs zu einem strukturellen Sicherheitsrisiko – besonders bei hunderten internen und externen Identitäten.
IoT und Remote‑Ökosysteme vergrößern die Angriffsfläche massiv: Vernetzte Geräte, externe Dienstleister und vergessene Projekt‑VPNs führen zu dauerhaft offenen Zugängen, die IT‑Abteilungen kaum noch überwachen können.
Privileged Access Security (PAS) bietet einen Zero‑Trust‑fähigen Ersatz: Granulare, zeitlich begrenzte, protokollierte Zugriffe ersetzen breite Netzwerktunnel; Passwörter werden automatisch erneuert, Ports bleiben geschlossen, Dateitransfers kontrolliert.
Vendor & Customer PAM beschleunigen sichere Fernwartung: VPAM/CPAM ermöglichen kontrollierte Wartungszugriffe ohne VPN – inklusive lückenloser Session‑Protokollierung, SaaS‑Betrieb und direkter Anbindung industrieller oder medizinischer Systeme.
Regulatorischer Druck macht Handeln zwingend: NIS2, persönliche Haftungsrisiken und steigende Cyberangriffe machen den Umstieg von VPN auf PAS zu einer strategischen Notwendigkeit – nicht zu einer Option.

Die breite Nutzung von VPN vergrößert das Risiko von Cyberangriffen, da klassische VPN-Modelle weitreichenden Netzwerkzugang gewähren und schwer zu kontrollieren sind. Organisatorische Schwächen sowie das exponentielle Wachstum vernetzter Geräte (IoT) erhöhen das Risiko für Kompromittierungen zusätzlich. Privileged Access Security (PAS) bietet als granulare, zeitlich begrenzte, protokollierte und Zero-Trust-kompatible Alternative stärkere Sicherheit, Nachvollziehbarkeit und Kontrolle. Nicht zuletzt wegen des regulatorischen Drucks und Cyberbedrohungen wird Privileged Access Management zunehmend als Ersatz für traditionelle VPN-Lösungen betrachtet. Als Vendor und Customer Privileged Access Management wird PAM eingesetzt, um Zugriffe Externer abzusichern.

38 Prozent der Deutschen, die ein Virtual Private Network privat nutzen (das sind 25,5 Prozent), setzen es primär ein, um ihre Online-Privatsphäre zu schützen – sei es vor neugierigen Werbenetzwerken, dem eigenen Internetanbieter oder staatlicher Überwachung [1]. Andere nutzen VPN, um geografische Beschränkungen zu umgehen oder aus Schule, Universität oder Heimnetzwerk auf zugangsbeschränkte Inhalte zuzugreifen. Für Privatpersonen ist VPN damit längst ein alltägliches Werkzeug geworden: leicht einzurichten, kostengünstig und mit wenigen Klicks aktiviert. Im Unternehmensumfeld war VPN hingegen bis vor der Corona-Pandemie alles andere als selbstverständlich. Danach erlebte es einen Boom, der nun langsam zu Gunsten von Privileged Access Security (PAS) zu Ende geht.

Noch in den 2000er Jahren verfügten lediglich rund 20 Prozent der deutschen Unternehmen mit mehr als 50 Mitarbeitenden über eine VPN-Infrastruktur [2]. Der Einsatz blieb auf ausgewählte Mitarbeitergruppen beschränkt – Außendienstmitarbeitende, Führungskräfte auf Reisen oder IT-Administratoren im Bereitschaftsdienst. Externe Partner und Kunden erhielten über sogenannte Extranet-VPNs allenfalls eng begrenzten Zugriff; geschäftskritische Prozesse wie Online-Bestellungen oder Finanztransaktionen wickelten viele Unternehmen bewusst nicht über das Internet ab. Sicherheitsbedenken und technische Komplexität hielten die Verbreitung in engen Grenzen. VPN war Spezialwerkzeug, kein Standard.

VPN-Booster Corona

Die Covid-19-Pandemie änderte das schlagartig. Als Millionen Beschäftigte innerhalb weniger Wochen ins Homeoffice wechselten, mussten Unternehmen ihre VPN-Kapazitäten massiv und in kürzester Zeit erhöhen. Laut einer BSI-Studie von 2021 führten 66 Prozent der Organisationen während oder unmittelbar vor der Pandemie ein VPN für Homeoffice-Szenarien ein [3]. Was zuvor das Privileg Weniger war, wurde zur flächendeckenden Infrastruktur. Auch für kritische Geschäftsprozesse, die bis dahin gemieden worden waren, öffnete sich der VPN-Tunnel notgedrungen. Der Fokus auf BSI-konforme Absicherung, Monitoring und Härtungsmaßnahmen wie Multi-Faktor-Authentifizierung wuchs entsprechend.

VPN, gekommen, um zu bleiben?

Nach dem Ende der akutesten Pandemiephase blieb das hybride Arbeiten – und mit ihm die VPN-Nutzung. Eine Umfrage aus dem Jahr 2024 zeigt, dass rund zwei Drittel der deutschen Unternehmen Remote-Arbeit anbieten; VPN gehört dabei zu den zentralen Schutzmaßnahmen für Zugriffe aus dem Homeoffice oder öffentlichen WLANs [4]. Der globale Markt für Remote-Access-VPN wächst weiter, mit einem prognostizierten jährlichen Wachstum von knapp fünf Prozent bis 2033 [5]. Gleichzeitig ist VPN heute weit mehr als ein Werkzeug für eigene Mitarbeitende: Dienstleister mit Remote-Support-Aufgaben, Logistik- und Handelspartner, Payroll-Anbieter und Cloud-Dienstleister – sie alle greifen über VPN auf interne Systeme zu. Die Angriffsfläche ist damit erheblich gewachsen.

Sicherheitsrisiko VPN, Alternative PAS

Genau hier liegt das strukturelle Dilemma moderner VPN-Architekturen: Sie wurden für eine andere Zeit konzipiert. Wo einst wenige, bekannte Nutzende gelegentlich und kontrolliert Zugriff erhielten, fordern heute hunderte interne und externe Identitäten dauerhaften, weitreichenden Zugang zu kritischen Systemen. VPN öffnet das Netzwerk – und damit im Zweifel alles, was darin erreichbar ist. Kompromittierte Zugangsdaten eines einzigen externen Dienstleisters können so zum Einfallstor für den gesamten Unternehmenskern werden.

Privileged Access Security (PAS) setzt genau an dieser Schwachstelle an. Statt breiten Netzwerkzugriff zu gewähren, kontrolliert dieser Ansatz gezielt, wer welche privilegierten Rechte unter welchen Bedingungen und für welchen Zeitraum ausüben darf. Privileged Access Security bietet gegenüber dem klassischen VPN-Modell klare Vorteile in puncto Sicherheit, Nachvollziehbarkeit und Kontrolle.

Herausforderung: Verwaltung und Kontrolle von VPNs

Ein einmal eingerichteter VPN-Zugang ist schwer wieder einzufangen. Er steht prinzipiell rund um die Uhr offen – und damit auch für jeden, der sich unberechtigten Zugriff auf die entsprechenden Zugangsdaten verschafft hat. Ob gerade ein legitimer Mitarbeitender arbeitet oder ein Angreifer das gekaperte Konto nutzt, lässt sich kaum zuverlässig unterscheiden. Ist ein Eindringling erst einmal im Netzwerk, kann er sich schrittweise höhere Berechtigungen aneignen, sich lateral durch die Systeme bewegen, Daten abziehen oder manipulieren und Schadsoftware platzieren – weitgehend unbemerkt.

Als kontrollierte Alternative werden gelegentlich Jump-Hosts eingesetzt: dedizierte Zwischensysteme, über die der Zugriff auf interne Ressourcen gebündelt und überwacht werden soll. In der Praxis überwiegen jedoch die Nachteile. Betrieb und Wartung binden erhebliche Ressourcen, die Sicherheitsrichtlinien lassen sich nur begrenzt granular gestalten – und wer den Jump-Host passiert hat, steht wieder vor weitgehend offenen Türen.

IoT als Beschleuniger

Verschärft wird die Situation durch die rasante Ausbreitung vernetzter Geräte. Telefonanlagen, Gebäudetechnik, medizinische Geräte in Kliniken, Maschinensteuerungen in der Produktion – sie alle benötigen gesicherte Wartungszugänge, doch mit jedem neuen Gerät wächst die potenzielle Angriffsfläche. Tausende aktive VPN-Verbindungen zuverlässig zu überwachen, übersteigt schlicht die Kapazitäten der meisten IT-Abteilungen.

Das eigentliche Problem ist oft organisatorischer Natur: VPN-Zugänge entstehen unter Zeitdruck, werden zum Beispiel im Rahmen von Projekten großzügig konfiguriert und nach Projektabschluss schlicht vergessen. Ports bleiben offen, Berechtigungen bleiben bestehen, und das Risiko wächst still im Hintergrund – bis es zu spät ist.

Sicherer, flexibler, individueller: Privileged Access Security

Privileged Access Security (PAS) ist der Ansatz, der diese strukturellen Schwächen gezielt adressiert. Statt einen breiten Netzwerktunnel zu öffnen, setzt PAS auf präzise, individuell steuerbare Zugriffsrechte – und bietet damit das Potenzial, VPN in vielen Einsatzszenarien vollständig abzulösen.

Ein zentrales Element ist das Vendor Privileged Access Management, kurz VPAM. Es erlaubt eine deutlich granularere Konfiguration als jede VPN-Lösung: Zugriffsrechte lassen sich auf einzelne Nutzer, konkrete Systeme und definierte Zeitfenster zuschneiden. Die gesamte Kommunikation kann auf Port 443 konsolidiert werden, sodass keine zusätzlichen Ports offenstehen müssen. Nach der ersten Authentisierung kann für die folgende Authentifizierung eine gesonderte Zugriffsgenehmigung verlangt werden. Passwörter werden nach Abschluss einer Sitzung automatisch erneuert, womit ausgespähte oder aus dem Arbeitsspeicher extrahierte Credentials sofort wertlos werden. Dateitransfers lassen sich grundsätzlich sperren oder unter Genehmigungsvorbehalt stellen.

PAS-Lösungen sind darüber hinaus konsequent auf Zero-Trust-Architekturen ausgelegt. Wartungs-Accounts können erst zum Zeitpunkt der eigentlichen Wartung angelegt und unmittelbar danach wieder automatisiert gelöscht werden – ein dauerhaft offenes Konto existiert gar nicht erst. Wer die dafür notwendige Infrastruktur nicht intern betreiben möchte, kann VPAM als SaaS-Lösung aus der Cloud beziehen.

Fernwartung und lückenlose Nachvollziehbarkeit

PAS vereinfacht nicht nur die Absicherung externer Zugriffe, sondern strukturiert auch die dahinterliegenden Prozesse neu. Dienstleister mit einem großen Kundenstamm können ein Customer Privileged Access Management, kurz CPAM, aufbauen – eine leistungsfähige Alternative zu klassischen Fernwartungstools, die die Anbindung neuer Kunden erheblich beschleunigt.

Ein wesentliches Merkmal aller PAM-Lösungen ist die integrierte, lückenlose Protokollierung. Jede Aktion wird aufgezeichnet: wer wann auf welches System zugegriffen hat, welche Konfigurationsänderungen vorgenommen und welche Parameter gesetzt wurden. In regulierten Branchen – etwa im Gesundheitswesen oder in der kritischen Infrastruktur – ist diese Nachvollziehbarkeit nicht nur betrieblich wertvoll, sondern häufig auch regulatorisch gefordert.

In der Praxis eröffnet das erhebliche Effizienzgewinne: Die Fernwartung von medizinischen Großgeräten wie Computertomographen, MRT-Systemen oder Sterilisatoren lässt sich über VPAM direkt auf der jeweiligen Steuerungseinheit vornehmen, ohne dass ein Techniker physisch vor Ort erscheinen muss. Dasselbe gilt für die Software-Updates industrieller Anlagen an schwer zugänglichen Standorten – etwa Offshore-Windkraftanlagen. Ressourcen werden geschont, Reaktionszeiten verkürzt und das Risiko einer VPN-Kompromittierung entfällt vollständig.

Multifaktor-Authentifizierung als zusätzliche Sicherheitsebene

PAS-Lösungen geben vor, wie sich externe Nutzer zu authentifizieren haben – und bieten dabei eine breite Auswahl an Verfahren: Hardware-Token, biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung, Windows Hello oder einmalige Codes per E-Mail oder SMS. Wo es die Sicherheitslage erfordert, lässt sich auch eine Authentifizierung über mehrere Faktoren hinaus konfigurieren.

Ebenso lässt sich granular festlegen, welche Aktionen einem externen Nutzenden innerhalb einer Sitzung erlaubt sind – ob Dateitransfer möglich ist, ob RDP-Verbindungen zugelassen werden und ob Tastatureingaben sowie Bildschirminhalte zur späteren Nachvollziehbarkeit aufgezeichnet werden sollen.

Wird VPAM als Cloud-Lösung betrieben, können sich Hersteller und Dienstleister eigenständig für Fernzugriffe registrieren. Große Anbieter wie Siemens, Philips oder General Electric sind in vielen Lösungen bereits vorkonfiguriert und müssen lediglich aktiviert werden. Auch der Zugriff auf IoT-Geräte oder Maschinen, die lokale Steuerungssoftware erfordern, ist über HTTPS-Tunnel möglich – ohne zusätzliche Netzwerköffnungen.

PAS-Lösungen werden VPN vielerorts ersetzen

Die Zeit, in der VPN als Universalantwort auf alle Fernzugriffsanforderungen galt, neigt sich dem Ende. Die Entwicklung geht hin zu webbasierten Plattformen, auf denen sich externe Nutzende mit modernen, zertifikatsbasierten Verfahren authentifizieren – einem Ansatz, der die manuelle Passworteingabe in Sicherheit und Benutzerfreundlichkeit deutlich übertrifft. Zukunftsweisend sind passwortlose Methoden: Gesichtserkennung, Passkeys und der offene Standard FIDO2 setzen bereits heute neue Maßstäbe.

Der wachsende Druck durch Cyberangriffe zwingt Unternehmen zum Handeln – und die NIS2-Richtlinie lässt kein Zögern zu: Unternehmensleiterinnen und -leiter haften künftig persönlich, wenn sie nachweislich unzureichende Maßnahmen zur Risikoabwehr ergriffen haben. Vor diesem Hintergrund ist der Übergang von VPN zu Privileged Access Security keine Frage des Ob, sondern des Wann.

Olaf Milde,
Manager, Solutions Engineering,
Central Europe
bei Imprivata GmbH

Nach seiner Berufsausbildung und dem abgeschlossenen Studium der Informatik, startete Olaf Milde Mitte der Neunziger Jahre bei Medion, wo er fast zehn Jahre tätig war, bevor er als freier IT-Consultant, Interim IT-Leiter und IT-Projektleiter, IT-Projekte im Krankenhausumfeld vorantrieb. Seine Schwerpunkte waren Security, Netzwerkinfrastruktur und Virtualisierung. 2014 übernahm er die Rolle des IT-Leiters im Marienhospital Bottrop. Seine weitreichenden Kenntnisse und Erfahrungen brachte er dann ab 2021 beim IT-Systemhaus MightyCare ein, bevor er 2023 zu Imprivata wechselte. Als Manager, Solutions Engineering, Central Europe bei Imprivata steht Olaf Milde heute Imprivata-Kunden bei der Produkt-Evaluierung zur Seite und unterstützt diese bei allen technischen Belangen.

[1] https://nordvpn.com/de/blog/nordvpn-umfrage-vpn-nutzung/

[2] https://www.computerwoche.de/article/2608679/studie-begrenzte-vpn-nutzung-in-deutschland.html

[3] https://www.genua.de/knowledgebase/bsi-studie-zur-it-sicherheit-im-home-office-zu-pandemiezeiten

[4] https://n-komm.de/cyber-security-im-zeitalter-der-remote-arbeit-wie-unternehmen-ihre-netzwerke-auch-ausserhalb-des-bueros-schuetzen-koennen/

[5] https://www.datainsightsmarket.com/reports/remote-access-vpn-1369432

Illustration: © Vectorstory | Dreamstime.com

286 Artikel zu „Privileged Access“

News | IT-Security | Strategien | Tipps

Die Auswirkungen von Quantencomputing auf das Privileged Access Management

18. Juni 2026

Warum jetzt der richtige Zeitpunkt ist, sich vorzubereiten Quantencomputer verändern unser Leben grundlegend. Die Einsatzbereiche reichen von der Simulation winziger Teilchen über den Bereich der Kartierung bis hin zur genauen Planung medizinischer Behandlungen. Aktuell mag vieles davon noch wie Zukunftsmusik klingen. Im Bereich Cybersicherheit, insbesondere beim Privileged Access Management, sollte man aber jetzt schon…